Ultima modifica: 8 agosto 2023 | Versioni precedenti
Jibe e la controparte che accetta il presente addendum ("Partner") hanno stipulato un contratto per la fornitura dei Servizi del responsabile (come di volta in volta emendati, il "Contratto").
Il presente Addendum per il trattamento dei dati (incluse le appendici, "Addendum per il trattamento dei dati") viene stipulato da Jibe e dal Partner e integra il Contratto. La presente Appendice per il trattamento dei dati entrerà in vigore e sostituirà tutti i termini applicabili in precedenza attinenti all'oggetto dello stesso (inclusi eventuali termini relativi al trattamento e alla sicurezza dei dati correlati ai Servizi del responsabile), a partire dalla Data di validità dei termini medesimi.
L'accettazione del presente Addendum per il trattamento dei dati per conto del Partner garantisce: (a) di avere la piena autorità legale per vincolare il Partner al presente Addendum relativo al trattamento dei dati; (b) di avere letto e compreso l'Addendum per il trattamento dei dati; e (c) di accettare l'Addendum per il trattamento dei dati per conto del Partner. Se non disponi dell'autorità legale per vincolare il Partner, non accettare il presente Addendum per il trattamento dei dati.
1. Introduzione
La presente Addendum per il trattamento dei dati riflette l'accordo tra le parti sui termini che regolano il trattamento e la sicurezza di determinati dati in relazione alla Legislazione europea sulla protezione dei dati e alla Legislazione non europea sulla protezione dei dati.
2. Definizioni e interpretazione
2.1 Nel presente Addendum per il trattamento dei dati:
Per "Prodotto aggiuntivo" si intende un prodotto, un servizio o un'applicazione fornita da Jibe o da una terza parte che: (a) non fa parte dei Servizi del responsabile; e (b) è accessibile per l'utilizzo nell'interfaccia utente dei Servizi del responsabile o è altrimenti integrata con i Servizi del responsabile.
Per "Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati" si intendono i Termini aggiuntivi a cui si fa riferimento nell'Allegato 3, che riflettono l'accordo tra le parti sui termini che regolano il trattamento di determinati dati in relazione a determinate normative della Legislazione non europea.
Per "Paese adeguato" si intende:
(a) Per i dati trattati soggetti al GDPR dell'Unione Europea: il SEE oppure un paese o territorio che sia riconosciuto garantire un'adeguata protezione dei dati ai sensi del GDPR dell'Unione Europea;
(b) per i dati trattati soggetti al GDPR del Regno Unito: il Regno Unito oppure un paese o territorio che sia riconosciuto garantire un'adeguata protezione dei dati ai sensi del GDPR del Regno Unito e del Data Protection Protection Act del 2018; e/o
(c) per i dati trattati soggetti all'FDPA svizzero: Svizzera o a un paese o territorio che (i) è incluso nell'elenco degli Stati la cui legislazione garantisce un livello adeguato di protezione come pubblicato dal Garante svizzero della protezione dei dati e del Commissario alle informazioni, o (ii) è riconosciuto come garantire una protezione dei dati adeguata da parte del Consiglio federale svizzero ai sensi dell'FDPA svizzero, in ogni caso diverso da quello sulla base di una protezione facoltativa.
Per "Soluzione di trasferimento alternativa" si intende una soluzione diversa dalle SCC che consente il trasferimento legittimo di dati personali in un paese terzo in conformità con la Legislazione europea sulla protezione dei dati, ad esempio un framework di protezione dei dati che sia riconosciuto garantire che le entità locali partecipanti forniscano una protezione adeguata.
Per "Incidente relativo ai dati" si intende una violazione del sistema di sicurezza di Jibe che comporta, accidentalmente o illecitamente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati personali dei partner su sistemi gestiti o controllati in altro modo da Jibe. Gli "Incidenti relativi ai dati" non includono le attività o i tentativi falliti di compromettere la sicurezza dei Dati personali del partner, tra cui tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi denial of service e altri attacchi di rete su firewall o sistemi di rete.
"Strumento dell'interessato" indica uno strumento (se disponibile) reso disponibile da un'entità Jibe agli interessati che consente a Jibe di rispondere direttamente e in modo standardizzato a determinate richieste degli interessati in relazione ai dati personali dei partner (ad esempio, impostazioni della pubblicità online o un plug-in per il browser di disattivazione).
Per "SEE" si intende lo Spazio economico europeo.
Per "GDPR dell'Unione Europea" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche in merito al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Per "Normativa europea sulla protezione dei dati" si intende, a seconda dei casi: (a) il GDPR; e/o (b) l'FDPA svizzero.
Per "Leggi europee" si intende, a seconda dei casi: (a) la legge UE o dello Stato membro dell'UE (se il GDPR dell'UE si applica al trattamento dei Dati personali del partner); e/o (b) la legge del Regno Unito o una parte del Regno Unito (se il GDPR del Regno Unito si applica al trattamento dei Dati personali del partner).
Per "GDPR" si intende, a seconda dei casi: (a) il GDPR dell'Unione Europea; e/o (b) il GDPR del Regno Unito.
Per "Jibe" si intende la Persona giuridica Jibe che costituisce una parte del Contratto.
Per "Entità Jibe" si intende Jibe Mobile, Inc, Jibe Mobile Limited o qualsiasi altra entità che controlla direttamente o indirettamente, è controllata da, o è soggetta a controllo comune con Jibe Mobile, Inc.
Per "Certificazione ISO 27001" si intende la certificazione ISO/IEC 27001:2013 o una certificazione paragonabile per i Servizi del responsabile.
"Nuovo sub-responsabile" ha il significato descritto nella Sezione 11.1 (Consenso per l'incarico del Sub-responsabile).
Per "Normativa non europea sulla protezione dei dati" si intendono le leggi sulla protezione dei dati o sulla privacy in vigore al di fuori del SEE, della Svizzera e del Regno Unito.
Per "Indirizzo email di notifica" si intende l'indirizzo email (se presente): (i) fornito dal Partner a Jibe o (ii) designato dal Partner, tramite l'interfaccia utente dei Servizi del responsabile o altri mezzi simili forniti da Jibe, per ricevere determinate notifiche da Jibe relative alla presente Appendice per il trattamento dei dati. Per chiarezza, è responsabilità del Partner fornire a Jibe un Indirizzo email di notifica e comunicare a Jibe eventuali aggiornamenti all'Indirizzo email di notifica.
Per "Dati personali del partner" si intendono i dati personali trattati da Jibe per conto del Partner nel provisioning dei Servizi del responsabile da parte di Jibe.
Per "SCC del partner" si intendono le SCC (da titolare a responsabile), le SCC (da responsabile a titolare) e/o le SCC (da responsabile a responsabile), a seconda dei casi.
Per "Servizi del responsabile" si intendono i servizi di RCS Business Messaging (come descritto all'indirizzo developers.google.com/business-communications/rcs-business-messaggiging).
Per "SCC" si intendono le SCC del partner e/o le SCC (da processore a responsabile, Jibe Esportatore), a seconda dei casi.
Per "SCC (da titolare a responsabile)" si intendono i termini disponibili all'indirizzo business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
Per "SCC (da responsabile a titolare)" si intendono i termini disponibili all'indirizzo business.safety.google/gdprprocessorterms/sccs/p2c.
Per "SCC (da responsabile a responsabile)" si intendono i termini disponibili all'indirizzo business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
Per "SCC (da responsabile a responsabile, esportatore Jibe)" si intendono i termini riportati all'indirizzo business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
"Documentazione in materia di sicurezza" si riferisce alla Certificazione ISO 27001 e a qualsiasi altra certificazione o documentazione di sicurezza che Jibe possa rendere disponibile in relazione ai Servizi del responsabile.
"Misure di sicurezza" ha il significato descritto nella Sezione 7.1.1 (Misure di sicurezza di Jibe).
Per "Sub-responsabili" si intendono terze parti autorizzate, ai sensi del presente Addendum per il trattamento dei dati, a eseguire l'accesso logico e a trattare i Dati personali del partner per fornire parti dei Servizi del responsabile e qualsiasi tipo di assistenza tecnica correlata.
Per "Autorità di controllo" si intende, a seconda dei casi: (a) un'"autorità di controllo" come definita nel GDPR dell'Unione Europea; e/o (b) il "Commissioner" come definito nel GDPR del Regno Unito e/o nell'FDPA svizzero.
Per "FDPA svizzero" si intende la legge federale sulla protezione dei dati del 19 giugno 1992 (Svizzera).
Per "Periodo di validità" si intende il periodo che va dalla Data di validità dei termini fino alla conclusione della fornitura da parte di Jibe dei Servizi del responsabile ai sensi del Contratto.
Per "Data di validità dei termini" si intende la data di validità del Contratto.
Per "GDPR del Regno Unito" si intende il GDPR dell'Unione Europea come emendato e integrato nella legge del Regno Unito ai sensi dell'UK European Union (Withdrawal) Act 2018 e dalla legislazione secondaria vigente promulgata ai sensi di tale atto.
2.2 I termini "titolare", "interessato", "dati personali", "trattamento" e "responsabile del trattamento dei dati" utilizzati nella presente Appendice per il trattamento dei dati hanno i significati indicati nel GDPR e i termini "importatore di dati" ed "esportatore di dati" hanno il significato specificato nelle SCC applicabili.
2.3 Il verbo "includere" e "incluso" significano "inclusi, a titolo esemplificativo". Gli esempi in questa "Addendum per il trattamento dei dati" sono a scopo illustrativo e non si intendono esaustivi rispetto a un determinato concetto.
2.4 Qualsiasi riferimento a quadri normativi, leggi scritte o altri atti legislativi riguarda questi ultimi così come di volta in volta emendati o ripromulgati.
2.5 Nella misura in cui qualsiasi versione tradotta del presente Addendum per il trattamento dei dati non fosse coerente con la versione in lingua inglese, prevarrà quest'ultima.
3. Durata del presente Addendum per il trattamento dei dati
Il presente Addendum per il trattamento dei dati entrerà in vigore a partire dalla Data di validità dei termini e, indipendentemente dal fatto che il Periodo di validità sia scaduto, rimarrà in vigore fino a quando Jibe eliminerà tutti i Dati personali del partner come descritto nella presente Addendum per il trattamento dei dati, con la scadenza automatica.
4. Applicazione della presente Appendice per il trattamento dei dati
4.1 Applicazione della Legislazione europea sulla protezione dei dati. Le Sezioni dalla 5 (Trattamento dei dati) alla 12 (Contattare Jibe; Trattamento dei dati) (incluse) si applicheranno esclusivamente nella misura in cui la Legislazione europea sulla protezione dei dati si applichi al trattamento dei Dati personali del partner, incluse le eventualità in cui:
(a) il trattamento è svolto nel contesto delle attività di una struttura Partner nel SEE o nel Regno Unito; e/o
(b) I Dati personali del partner sono dati personali relativi agli interessati che si trovano nel SEE o nel Regno Unito e il trattamento riguarda l'offerta di beni o servizi o il monitoraggio del loro comportamento nel SEE o nel Regno Unito.
4.2 Applicazione ai Servizi del responsabile. Il presente Addendum per il trattamento dei dati sarà valido solo per i Servizi del responsabile per i quali le parti hanno accettato il presente Addendum per il trattamento dei dati (ad esempio: (a) i Servizi del responsabile per i quali il Partner ha fatto clic per accettare il presente Addendum per il trattamento dei dati; o (b) qualora il Contratto includa per riferimento questo Addendum per il trattamento dei dati, i Servizi del responsabile oggetto del Contratto.
4.3 Inclusione di Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati. I Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati integrano il presente Addendum per il trattamento dei dati.
5. Trattamento dei dati
5.1 Ruoli e conformità normativa; autorizzazioni.
5.1.1 Responsabilità del titolare e del responsabile. Le parti riconoscono e accettano che:
(a) L'Allegato 1 descrive l'oggetto e i dettagli relativi al trattamento dei Dati personali del partner;
(b) Jibe è responsabile del trattamento dei Dati personali del partner ai sensi della Legislazione europea sulla protezione dei dati;
(c) Il Partner è un titolare o responsabile, a seconda dei casi, dei Dati personali del partner ai sensi della Legislazione europea sulla protezione dei dati; e
(d) ciascuna parte rispetterà le relative obbligazioni applicabili ai sensi della Legislazione europea sulla protezione dei dati in merito al trattamento dei Dati personali del partner.
5.1.2 Partner del responsabile. Se il partner è un responsabile:
(a) il Partner garantisce su base continuativa che il titolare pertinente ha autorizzato (i) le istruzioni, (ii) la nomina di Jibe da parte del Partner come altro responsabile e (iii) l'assegnazione dell'incarico di Sub-responsabili di Jibe come descritto nella Sezione 11 (Sub-responsabili);
(b) Il Partner inoltrerà immediatamente al titolare pertinente qualsiasi notifica fornita da Jibe ai sensi delle Sezioni 5.4 (Notifiche relative alle Istruzioni), 7.2.1 (Notifica dell'incidente), 11.4 (Facoltà di opporsi alla sostituzione del Sub-responsabile) o correlata a qualsiasi SCC; e
(c) Il Partner può mettere a disposizione del titolare pertinente qualsiasi informazione messa a disposizione da Jibe ai sensi delle Sezioni 7.4 (Certificazione di sicurezza), 10.5 (Informazioni sul Centro dati) e 11.2 (Informazioni sui Sub-responsabili).
5.2 Istruzioni del Partner. Adempiendo al presente Addendum per il trattamento dei dati, il Partner indica a Jibe di trattare i Dati personali del partner esclusivamente in conformità con la legge vigente: (a) di fornire i Servizi del responsabile e qualsiasi assistenza tecnica correlata; (b) come ulteriormente specificato tramite l'uso dei Servizi del responsabile (incluso nelle impostazioni e in altre funzionalità dei Servizi del responsabile) e qualsiasi assistenza tecnica correlata; (c) come documentato nelle istruzioni contenute nel Contratto;
5.3 Conformità di Jibe alle Istruzioni. Jibe rispetterà le Istruzioni, a meno che non sia vietato dalle Leggi europee.
5.4 Notifiche relative alle Istruzioni. Jibe informerà immediatamente il Partner se, a suo parere, (a) le leggi europee vietano a Jibe di rispettare un'Istruzione; (b) un'Istruzione non è conforme alla Legislazione europea sulla protezione dei dati; o (c) Jibe non è altrimenti in grado di rispettare un'Istruzione, in ogni caso purché tale notifica non sia vietata dalla Legge europea. La presente Sezione 5.4 (Notifiche relative alle Istruzioni) non limita i diritti e le obbligazioni delle parti descritti altrove nel Contratto.
5.5 Prodotti aggiuntivi. Se il Partner utilizza un Prodotto aggiuntivo, i Servizi del responsabile potranno consentire l'accesso di tali Prodotti aggiuntivi ai Dati personali del partner, secondo quanto richiesto ai fini dell'interoperabilità tra il Prodotto aggiuntivo e i Servizi del responsabile. Se necessario, le parti stipuleranno Termini per il trattamento dei dati distinti per trattare le modalità di trattamento dei Dati personali del partner da parte del Prodotto aggiuntivo.
6. Eliminazione dati
6.1 Eliminazione durante il Periodo di validità.
6.1.1 Servizi del responsabile con funzionalità di eliminazione. Durante il Periodo di validità, se:
(a) la funzionalità dei Servizi del responsabile comprende l’opzione per il Partner di eliminare i Dati personali del partner;
(b) Il Partner utilizza i Servizi del responsabile per eliminare determinati Dati personali del partner; e
(c) i Dati personali dei partner eliminati non potranno essere recuperati dal Partner (ad esempio, dal "cestino"), nonché Jibe eliminerà questi Dati personali del partner dai propri sistemi non appena ragionevolmente possibile, a meno che le Leggi europee non richiedano la conservazione.
6.1.2 Servizi del responsabile senza funzionalità di eliminazione. Durante il Periodo di validità, se la funzionalità dei Servizi del responsabile non comprende l'opzione che consente al Partner di eliminare i Dati personali del partner, Jibe rispetterà qualsiasi richiesta ragionevole del Partner per agevolare tale eliminazione, per quanto ciò sia possibile, tenuto conto della natura e della funzionalità dei Servizi del responsabile e salvo che le Leggi europee ne richiedano la conservazione. Jibe potrebbe addebitare una commissione (basata sulle spese ragionevolmente sostenute da Jibe) per eventuali operazioni di eliminazione dei dati ai sensi della presente Sezione 6.1.2 (Servizi del responsabile senza funzionalità di eliminazione). Jibe fornirà al Partner ulteriori dettagli sulle commissioni applicabili e i relativi criteri di calcolo, prima di ogni intervento di eliminazione.
6.2 Eliminazione alla scadenza del Periodo di validità. Alla scadenza del Periodo di validità, il Partner richiede a Jibe di eliminare tutti i dati personali del partner (incluse le copie esistenti) dai sistemi di Jibe in conformità con le leggi vigenti. Jibe rispetterà questa istruzione non appena ragionevolmente possibile, a meno che le Leggi europee non richiedano l'archiviazione.
7. Sicurezza dei dati
7.1 Misure e assistenza in materia di sicurezza da parte di Jibe.
7.1.1 Misure di sicurezza di Jibe. Jibe attuerà e manterrà misure tecniche e organizzative per proteggere i Dati personali del partner da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso illecito, o illecito, come descritto nell'Allegato 2 (le"Misure di sicurezza). Come descritto nell'Allegato 2, le Misure di sicurezza includono: (a) criptare i dati personali; (b) contribuire a garantire costantemente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e servizi di Jibe; (c) contribuire a ripristinare tempestivamente l'accesso ai dati personali in seguito a un incidente e (d) eseguire regolarmente test di efficacia. Di tanto in tanto, Jibe può aggiornare o modificare le Misure di sicurezza, sempre che tali interventi di aggiornamento e modifica non comportino un deterioramento della sicurezza generale dei Servizi del responsabile.
7.1.2 Accesso e conformità. Jibe (a) autorizzerà i propri dipendenti, appaltatori e Sub-responsabili ad accedere ai Dati personali del partner esclusivamente se strettamente necessari per rispettare le Istruzioni; (b) adotterà gli opportuni provvedimenti per garantire il rispetto delle Misure di sicurezza da parte dei propri dipendenti, appaltatori e Sub-responsabili nella misura applicabile all'ambito delle loro prestazioni; e (c) si assicurerà che tutte le persone autorizzate a garantire la riservatezza dei Dati personali dei partner siano autorizzate a elaborare la riservatezza dei dati personali dei Partner.
7.1.3 Assistenza in materia di sicurezza di Jibe. Tenendo conto della natura del trattamento dei Dati personali del partner e delle informazioni disponibili per Jibe, Jibe assisterà il Partner nel garantire la conformità con gli obblighi del Partner (o, nel caso in cui il Partner sia un responsabile del trattamento, del titolare pertinente) in materia di sicurezza dei dati personali e delle violazioni dei dati personali, inclusi gli obblighi del Partner (o, nel caso in cui il Partner sia un responsabile del trattamento, gli obblighi del titolare pertinente ai sensi degli Articoli da 32 a 34) da
(a) implementare e mantenere le Misure di sicurezza in conformità con la Sezione 7.1.1 (Misure di sicurezza di Jibe);
(b) Il rispetto dei termini di cui alla Sezione 7.2 (Incidenti relativi ai dati); e
(c) fornire al Partner la Documentazione in materia di sicurezza di cui alla Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza) e le informazioni contenute nel presente Addendum per il trattamento dei dati.
7.2 Incidenti relativi ai dati.
7.2.1 Notifica degli incidenti. Qualora Jibe venga a conoscenza di un Incidente relativo ai dati, provvederà a: (a) notificare il Partner tempestivamente e senza ingiustificato ritardo in merito all'Incidente relativo ai dati; e (b) adottare prontamente provvedimenti ragionevoli per minimizzare i danni e salvaguardare i Dati personali del partner.
7.2.2 Dettagli dell'incidente relativo ai dati. Le notifiche effettuate ai sensi della Sezione 7.2.1 (Notifica dell'incidente) descrivono: la natura dell'Incidente relativo ai dati, incluse le risorse dei partner interessate, le misure che Jibe ha adottato, o prevede di intraprendere, di affrontare l'Incidente relativo ai dati e mitigarne il potenziale rischio; le misure, se presenti, consigliano al Partner di intraprendere l'incidente per i dati e i dettagli di un punto di contatto in cui è possibile ottenere maggiori informazioni. Se non è possibile fornire tutte queste informazioni contemporaneamente, la notifica iniziale di Jibe conterrà le informazioni disponibili al momento e le successive informazioni verranno comunicate senza ingiustificato ritardo non appena diventano disponibili.
7.2.3 Metodo di notifica. Jibe invierà la notifica di eventuali Incidenti relativi ai dati all'Indirizzo email di notifica o, a discrezione di Jibe (incluso se il Partner non ha fornito un Indirizzo email di notifica), mediante altra comunicazione diretta (ad esempio per telefono o in una riunione di persona). Il Partner è l'unico responsabile della fornitura dell'Indirizzo email di notifica e della verifica che l'Indirizzo email di notifica sia aggiornato e valido.
7.2.4 Notifiche di terze parti. Il Partner è il solo responsabile dell'osservanza delle leggi applicabili al Cliente stesso sulla notifica degli incidenti e dell'adempimento delle obbligazioni di notifica a terze parti concernenti eventuali Incidenti relativi ai dati.
7.2.5 Nessuna ammissione di colpa da parte di Jibe. La notifica o la risposta di Jibe a un Incidente relativo ai dati ai sensi della presente Sezione 7.2 (Incidenti relativi ai dati) non verranno interpretate come conferma di Jibe di eventuali colpe o responsabilità in merito all'Incidente relativo ai dati.
7.3 Responsabilità e valutazione del Partner in materia di sicurezza.
7.3.1 Responsabilità del Partner in materia di sicurezza. Il Partner concorda sul fatto che, ferme restando le obbligazioni di Jibe ai sensi delle Sezioni 7.1 (Misure e assistenza in materia di sicurezza di Jibe) e 7.2 (Incidenti relativi ai dati):
(a) Il Partner è responsabile del proprio utilizzo dei Servizi del responsabile, inclusi:
(i) L'utilizzo appropriato dei Servizi del responsabile per garantire un livello di sicurezza adeguato al rischio per i Dati personali del partner; e
(ii) la protezione delle credenziali di autenticazione dell'account, dei sistemi e dei dispositivi utilizzati dal Partner per accedere ai Servizi del responsabile; e
(b) Jibe non ha l'obbligo di proteggere i Dati personali del partner che il Partner sceglie di archiviare o trasferire al di fuori dei sistemi di Jibe e dei suoi Sub-responsabili.
7.3.2 Valutazione della sicurezza da parte del Partner. Il Partner riconosce le Misure di sicurezza implementate e gestite da Jibe come descritto nella Sezione 7.1.1 (Misure di sicurezza di Jibe) forniscono un livello di sicurezza adeguato ai rischi per i Dati personali del partner, tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento dei Dati personali del partner; lo stato dell'arte, i costi di implementazione e i rischi per i privati.
7.4 Certificazione di sicurezza. Per valutare e contribuire a garantire la continua efficacia delle Misure di sicurezza, Jibe manterrà la Certificazione ISO 27001 o altre misure appropriate per dimostrare l'efficacia delle Misure di Sicurezza.
7.5 Revisioni e controlli di conformità.
7.5.1 Revisioni della Documentazione in materia di sicurezza. Al fine di dimostrare la conformità ai suoi obblighi ai sensi del presente Addendum per il trattamento dei dati, Jibe metterà a disposizione del Partner la Documentazione in materia di sicurezza, che potrà essere esaminata dal Partner.
7.5.2 Diritti del Cliente di eseguire controlli.
(a) Jibe consentirà al Partner o a un revisore di terze parti nominato dal Partner di condurre controlli (incluse ispezioni) atti a verificare la conformità di Jibe ai propri obblighi ai sensi del presente Addendum per il trattamento dei dati ai sensi della Sezione 7.5.3 (Termini di contratto aggiuntivi per i controlli). Durante i controlli, Jibe metterà a disposizione tutte le informazioni necessarie per dimostrare tale conformità e contribuirà ai controlli come descritto nella Sezione 7.4 (Certificazione di sicurezza) e nella presente Sezione 7.5 (Revisioni e controlli di conformità).
(b) Se le SCC si applicano ai sensi della Sezione 10.2 (Trasferimenti europei limitati), Jibe consentirà al Partner (o a un revisore di terze parti nominato dal Partner) di eseguire controlli come descritto nelle SCC applicabili e, durante tali controlli, renderà disponibili tutte le informazioni richieste da tali SCC, in conformità con la Sezione 7.5.3 (Termini di contratto aggiuntivi per i controlli).
(c) Il Partner può anche condurre un controllo per verificare la conformità di Jibe ai propri obblighi ai sensi del presente Addendum per il trattamento dei dati mediante la revisione di qualsiasi certificato rilasciato a Jibe da qualsiasi revisore di terze parti (ad esempio, una Certificazione ISO 27001, se presente).
7.5.3 Termini di contratto aggiuntivi per i controlli.
(a) Il Partner invierà una richiesta per un controllo ai sensi delle Sezioni 7.5.2(a) o 7.5.2(b) a Jibe come descritto nella Sezione 12.1 (Contattare Jibe).
(b) In seguito al ricevimento da parte di Jibe di una richiesta di cui alla Sezione 7.5.3(a), Jibe e il Partner si confronteranno e concorderanno preventivamente e in modo ragionevole la data di inizio, l'ambito, la durata e le verifiche in materia di sicurezza e riservatezza applicabili ai controlli di cui alle Sezioni 7.5.2(a) o 7.5.2(b).
(c) Jibe potrebbe addebitare una commissione (basata sulle spese ragionevolmente sostenute da Jibe) per eventuali controlli di cui alle Sezioni 7.5.2(a) o 7.5.2(b). Jibe fornirà al Partner ulteriori dettagli su eventuali commissioni applicabili e i relativi criteri di calcolo, prima di tali controlli. Il Partner si farà carico di eventuali commissioni addebitate dai revisori di terze parti nominati dal Partner per l'esecuzione di tali controlli.
(d) Jibe può opporsi a qualsiasi revisore di terze parti nominato dal Partner per l'esecuzione di qualsiasi controllo di cui alle Sezioni 7.5.2(a) o 7.5.2(b) se, ai sensi di un giudizio ragionevole, non sia adeguatamente qualificato o indipendente, un concorrente di Jibe o sia palesemente inadatto per altri motivi. Qualora Google sollevi una di tali obiezioni, il Partner dovrà nominare un altro revisore o eseguire il controllo per proprio conto.
(e) Nulla in questa Appendice per il trattamento dei dati impone a Jibe di divulgare al Partner o al revisore di terze parti o di consentire al Partner o al revisore di terze parti di accedere a:
(i) Qualsiasi dato di eventuali altri partner o clienti di una Persona giuridica Jibe;
(ii) Qualsiasi informazione interna contabile o finanziaria di una Persona giuridica Jibe;
(iii) Qualsiasi segreto commerciale di una Persona giuridica Jibe;
(iv) qualsiasi informazione che, sulla base di ragioni plausibili di Jibe, potrebbe: (A) compromettere la sicurezza dei sistemi o delle sedi di qualsiasi Entità Jibe; o (B) comportare la violazione di qualsiasi obbligazione di Jibe ai sensi delle Legislazioni europee sulla protezione dei dati o dei suoi obblighi in materia di sicurezza e/o privacy nei confronti del Partner o di terze parti; o
(v) Qualsiasi informazione a cui il Partner o il revisore di terze parti da questi nominato cerchino di accedere per ragioni estranee al dovere di buona fede nell'adempimento delle obbligazioni del Partner ai sensi della Legislazione europea sulla protezione dei dati.
8. Valutazione dell'impatto e consulenze
Tenendo in considerazione la natura del trattamento e le informazioni disponibili a Jibe, Jibe aiuterà il Partner a garantire la conformità con gli obblighi del Partner (o dove il Partner è un responsabile del trattamento, del titolare pertinente) in relazione alle valutazioni dell'impatto sulla protezione dei dati e alla consultazione preventiva, inclusi (se applicabili) gli obblighi del Partner o del titolare pertinente ai sensi degli articoli 35 e 36 del GDPR mediante:
(a) fornire la Documentazione in materia di sicurezza di cui alla Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza);
(b) fornire le informazioni contenute nel presente Addendum per il trattamento dei dati; e
(c) fornire o rendere disponibile in altro modo, in conformità con le pratiche standard di Jibe, altri materiali relativi alla natura dei Servizi del responsabile e al trattamento dei Dati personali del partner (ad esempio, materiali del Centro assistenza).
9. Diritti dell’interessato
9.1 Risposte alle richieste dell'interessato. Qualora Jibe riceva una richiesta da parte di un interessato relativamente ai Dati personali del partner, il Partner autorizza Jibe a procedere, con la presente, a notifica che il Partner provvederà a:
(a) rispondere direttamente alla richiesta dell'interessato in conformità con la funzionalità standard dello Strumento dell'interessato (se la richiesta è stata elaborata mediante uno strumento dell'interessato); o
(b) Indicare all'interessato di inoltrare la propria richiesta al Partner, il quale sarà responsabile di rispondere a tale richiesta (se la richiesta non è stata elaborata mediante uno Strumento dell'interessato).
9.2 Assistenza di Richiesta dell'interessato di Jibe. Jibe assisterà il Partner (o, nel caso in cui il Partner sia un responsabile del trattamento, il titolare pertinente) nell'adempimento dei propri obblighi ai sensi del GDPR in risposta a richieste di esercizio dei diritti dell'interessato, tenendo conto in ogni caso della natura del trattamento dei Dati personali del partner e, se applicabile, dell'Articolo 11 del GDPR, che comprende, se applicabile:
(a) fornire le funzionalità dei Servizi del responsabile;
(b) Rispettando gli impegni di cui alla Sezione 9.1 (Risposte alle richieste dell'interessato); e
(c) Se applicabile ai Servizi del responsabile, mettendo a disposizione gli Strumenti dell'interessato.
9.3 Rettifica. Se il Partner viene a conoscenza del fatto che i Dati personali del partner sono imprecisi o obsoleti, il Partner avrà la responsabilità di rettificare o eliminare tali dati qualora richiesto dalla Legislazione europea sulla protezione dei dati, incluso (ove disponibile) mediante l'utilizzo della funzionalità dei Servizi del responsabile.
10. Trasferimenti di dati
10.1 Sedi di archiviazione e trattamento dei dati. In conformità con quanto disposto nel seguito della presente Sezione 10 (Trasferimenti di dati), Jibe può trattare i Dati personali del partner in qualsiasi paese in cui Jibe o uno qualsiasi dei suoi Sub-responsabili dispongano di strutture.
10.2 Trasferimenti europei limitati. Le parti riconoscono che la Legislazione europea sulla protezione dei dati non richiede le SCC o una Soluzione di trasferimento alternativa per trattare i Dati personali del partner o trasferirli in un Paese adeguato.
Se i Dati personali del partner vengono trasferiti in un altro paese e la Legislazione europea per la protezione dei dati si applica a tali trasferimenti ("Trasferimento europeo limitato"), allora:
(a) se Jibe adotta una Soluzione di trasferimento alternativa per eventuali Trasferimenti europei limitati, dovrà comunicare al Partner la soluzione pertinente e garantire che tali Trasferimenti europei limitati siano effettuati in conformità con tale soluzione; e/o
(b) se Jibe non ha adottato, o ha informato il Partner, che non sta più adottando una Soluzione di trasferimento alternativa per eventuali Trasferimenti europei limitati, allora:
(i) se l'indirizzo di Jibe si trova in un Paese adeguato:
(A) Le SCC (da responsabile a responsabile, esportatore Jibe) si applicheranno a tali Trasferimenti europei limitati da Jibe a Sub-responsabili; e
(B) Inoltre, se l'indirizzo del Partner non si trova in un Paese adeguato, le SCC (da responsabile a titolare) si applicheranno ai Trasferimenti europei limitati tra Jibe e Partner (indipendentemente dal fatto che il Partner sia un titolare e/o un responsabile); o
(ii) se l'indirizzo di Jibe non si trova in un Paese adeguato:
Le SCC (da titolare a responsabile) e/o le SCC (da responsabile a responsabile) si applicheranno (a seconda che il Partner sia un titolare e/o un responsabile del trattamento) nel rispetto di tali Trasferimenti europei limitati tra Partner e Jibe; e
(c) i riferimenti a Google LLC o Google e all'Utente in una qualsiasi delle SCC saranno rispettivamente rispettivamente a Jibe e Partner.
10.3 Informazioni e misure supplementari. Jibe fornirà al Partner informazioni pertinenti ai Trasferimenti europei limitati, incluse informazioni sulle misure supplementari per proteggere i Dati personali del partner, come descritto nella Sezione 7.5.1 (Revisioni della Documentazione in materia di sicurezza), l'Allegato 2 (Misure di sicurezza) e altri materiali relativi alla natura dei Servizi del responsabile e al trattamento dei Dati personali del partner (ad esempio gli articoli del Centro assistenza).
10.4 Risoluzione. Qualora il Partner concluda, in base all'uso corrente o previsto dei Servizi del responsabile, che la Soluzione di trasferimento alternativa e/o le SCC, a seconda dei casi, non offrono salvaguardie adeguate per i Dati personali del partner, il Partner potrà recedere liberamente e con effetto immediato dal Contratto informando Jibe per iscritto.
10.5 Informazioni sui data center. Le informazioni sulle sedi dei data center di Google LLC sono disponibili all'indirizzo www.google.com/about/datacenters/locations/index.html.
11. Sub-responsabili
11.1 Consenso per l'incarico del Sub-responsabile. Il Partner autorizza espressamente l'assegnazione dell'incarico dei Sub-responsabili elencati nella Sezione 11.2 (Informazioni sui Sub-responsabili) a partire dalla Data di validità dei termini. Inoltre, il Partner autorizza in generale l'assegnazione dell'incarico a altre terze parti in qualità di Sub-responsabili ("Nuovi sub-responsabili"), ai sensi della Sezione 11.4 (Facoltà di opporsi alla sostituzione del Sub-responsabile).
11.2 Informazioni sui Sub-responsabili. Su richiesta scritta del Partner, Jibe fornirà informazioni relative ai Sub-responsabili e alle loro sedi. Queste richieste devono essere inviate a Jibe utilizzando i dati di contatto definiti nella Sezione 12.1 (Contattare Jibe).
11.3 Requisiti per l'incarico del Sub-responsabile. Al momento di assegnare l'incarico a un qualsiasi Sub-responsabile, Jibe:
(a) assicurare mediante un contratto scritto che:
(i) il Sub-responsabile acceda e utilizzi i Dati personali del partner esclusivamente nella misura necessaria ad adempiere alle obbligazioni assegnategli e in conformità con il Contratto (incluso il presente Addendum per il trattamento dei dati); e
(ii) se il trattamento dei Dati personali del partner è soggetto alla Legislazione europea sulla protezione dei dati, al Sub-responsabile vengano imposte le obbligazioni relative alla protezione dei dati contenute nel presente Addendum per il trattamento dei dati (ai sensi dell'Articolo 28(3) del GDPR, se applicabile); e
(b) Si assumerà la piena responsabilità per tutte le obbligazioni assegnate al Sub-responsabile, così come per tutti i suoi atti e le sue omissioni.
11.4 Facoltà di opporsi alla sostituzione del Sub-responsabile.
(a) Se viene assegnato un incarico a un Nuovo sub-responsabile nel corso del Periodo di validità, almeno 30 giorni prima che il Nuovo sub-responsabile elabori i Dati personali del partner, Jibe informerà il Partner dell'incarico (tra cui il nome e la località del Sub-responsabile in questione e le attività che svolgerà) inviando un'email all'Indirizzo email di notifica.
(b) Il Partner potrà opporsi a qualsiasi Nuovo sub-responsabile di terze parti recedendo liberamente dal Contratto con effetto immediato previa notifica scritta a Jibe, a condizione che il Partner fornisca tale comunicazione entro 90 giorni dalla comunicazione dell'incarico del Nuovo Sub-responsabile come descritto nella Sezione 11.4(a).
12. Contattare Jibe; registri di elaborazione
12.1 Contattare Jibe. Nell'esercizio dei propri diritti ai sensi del presente Addendum per il trattamento dei dati, il Partner può contattare Jibe tramite il contatto RCS per la protezione dei dati di Jibe, raggiungibile tramite issuetracker.google.com o mediante altri mezzi eventualmente forniti da Jibe.
12.2 Registri relativi al trattamento di Jibe. Jibe conserverà la documentazione appropriata delle sue attività di trattamento secondo quanto richiesto dal GDPR. Il Partner riconosce che ai sensi del GDPR il soggetto obbligato: Di conseguenza, ove richiesto e in qualità di Partner applicabile, fornirà tali informazioni a Jibe tramite l'interfaccia utente dei Servizi del responsabile o con altri mezzi eventualmente forniti da Jibe e utilizzerà tali interfacce utente o altri mezzi per garantire che tutte le informazioni fornite siano accurate e aggiornate.
12.3 Richieste del titolare. Se Jibe riceve una richiesta o un'istruzione da una terza parte che sostiene di essere titolare del trattamento dei Dati personali del partner, Jibe inviterà la terza parte a contattare il Partner.
13. Responsabilità
Se il Contratto è regolato dalle leggi di:
(b) una giurisdizione che non è uno stato degli Stati Uniti, la responsabilità totale combinata delle parti e delle loro società consociate ai sensi o in connessione con la presente Appendice per il trattamento dei dati sarà soggetta al Contratto.
14. Effetto del presente Addendum per il trattamento dei dati
14.1 Ordine di precedenza. In caso di conflitto o incoerenza tra le SCC, i Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati, la presente Appendice per il trattamento dei dati e la parte restante del Contratto, verrà applicato il seguente ordine di precedenza:
(a) le SCC;
(b) i Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati;
(c) il resto del presente Addendum relativo al trattamento dei dati; e
(d) il resto del Contratto.
Fatti salvi gli emendamenti apportati al presente Addendum per il trattamento dei dati, il Contratto rimane in vigore a tutti gli effetti.
14.2 Immodificabilità delle SCC. Nessuna disposizione nel Contratto (incluso il presente Addendum per il trattamento dei dati) ha lo scopo di modificare o contraddire le SCC o ridurre i diritti o le libertà fondamentali degli interessati ai sensi della Legislazione europea sulla protezione dei dati.
14.3 Nessun effetto sui Termini del titolare. La presente Appendice per il trattamento dei dati non influisce su eventuali termini separati tra Jibe e Partner che riflettono una relazione tra titolare e titolare per un servizio diverso dai Servizi del responsabile.
14.4 SCC precedenti per il Regno Unito. A partire dal 21 settembre 2022 o dalla data di validità del Contratto, a seconda di quale delle due date, i Termini aggiuntivi delle SCC relative al trasferimento di GDPR nel Regno Unito si applicheranno, sostituiranno e risolveranno eventuali clausole contrattuali tipo approvate ai sensi del GDPR del Regno Unito e del Data Protection Act del 2018 e stipulate in precedenza da Partner e Jibe ("SCC del Regno Unito precedenti"). La presente Sezione 14.4 (SCC precedenti per il Regno Unito) non influisce sui diritti di nessuna delle parti, né sui diritti dell'interessato, che possono essere maturati ai sensi delle SCC precedenti per il Regno Unito durante la loro validità.
15. Modifiche alla presente Appendice per il trattamento dei dati
15.1 Modifiche agli URL. Di tanto in tanto, Jibe può modificare gli URL a cui si fa riferimento nella presente Appendice per il trattamento dei dati e i contenuti di tali URL, fatto salvo che Jibe può modificare le SCC solo in conformità con le Sezioni 15.2(b) - 15.2(d) (Modifiche all'Addendum per il trattamento dei dati) o per integrare eventuali nuove versioni delle SCC ai sensi della legislazione europea sulle SCC ai sensi della Legislazione vigente.
15.2 Modifiche all'Addendum per il trattamento dei dati. Jibe può modificare la presente Addendum per il trattamento dei dati se la modifica:
(a) è espressamente consentita dalla presente Appendice per il trattamento dei dati, anche come descritto nella Sezione 15.1 (Modifiche agli URL);
(b) Riflette una modifica al nome o alla forma di una persona giuridica;
(c) È necessaria per rispettare leggi o regolamenti vigenti, ingiunzioni del tribunale o orientamenti emanati da un'autorità di regolamentazione o un'agenzia governativi oppure rispecchia l'adozione di una Soluzione di trasferimento alternativa da parte di Jibe; oppure
(d) non (i) comporta un deterioramento della sicurezza generale dei Servizi del responsabile; (ii) amplia l'ambito o rimuove qualsiasi restrizione su, (x) nel caso dei Termini aggiuntivi per la legislazione non europea sulla protezione dei dati, i diritti di Jibe di utilizzare o altrimenti elaborare i dati nell'ambito dei Termini aggiuntivi per la legislazione sulla protezione dei dati applicabile al fine di un trattamento in materia di
15.3 Notifica delle modifiche. Se Jibe intende modificare la presente Appendice per il trattamento dei dati ai sensi della Sezione 15.2(c) o (d), Jibe informerà il Partner di almeno 30 giorni (o il periodo più breve eventualmente richiesto per rispettare la legge vigente, il regolamento vigente, un'ingiunzione del tribunale o indicazione emanata da un'autorità di regolamentazione o un'agenzia governativa) prima che la modifica entri in vigore mediante: (a) inviando un'email all'Utente responsabile del servizio o all'Indirizzo email di notifica; Qualora il Partner si opponga alle suddette modifiche, potrà recedere liberamente dal Contratto trasmettendone comunicazione scritta a Jibe entro 90 giorni dalla notifica delle modifiche da parte di Jibe.
Allegato 1: Oggetto e dettagli del trattamento dati
Oggetto
la fornitura, da parte di Jibe, dei Servizi del responsabile e della relativa assistenza tecnica al Partner.
Durata del trattamento
Il Periodo di validità più il periodo compreso dalla scadenza dello stesso fino all'eliminazione di tutti i Dati personali del partner da parte di Jibe, in conformità con la presente Appendice per il trattamento dei dati.
Natura e scopo del trattamento
Jibe elaborerà i Dati personali del partner, tra cui (a seconda della natura dei Servizi del responsabile e delle Istruzioni) la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'alterazione, il recupero, l'uso, la divulgazione, la combinazione, l'eliminazione e l'eliminazione dei Dati personali del partner allo scopo di fornire i Servizi del responsabile e qualsiasi tipo di assistenza tecnica correlata al Partner, in conformità con la presente Appendice per il trattamento dei dati.
Tipi di dati personali
Dati personali relativi a privati forniti a Jibe tramite i Servizi di elaborazione da parte del Partner o degli utenti finali del Partner, o su indicazione del Partner.
Categorie di interessati
Gli interessati includono i privati i cui dati vengono forniti a Jibe tramite i Servizi del responsabile dal Cliente o da parte del Partner stesso o su indicazione di quest'ultimo.
Appendice 2: Misure di sicurezza
A partire dalla Data di validità dei termini, Jibe implementerà e manterrà le Misure di sicurezza nella presente Appendice 2. Jibe può aggiornare o modificare di tanto in tanto tali Misure di sicurezza, sempre che tali aggiornamenti e modifiche non comportino un peggioramento della sicurezza complessiva dei Servizi del responsabile.
1. Data center e sicurezza della rete
(a) Data center.
Infrastruttura. Jibe possiede data center distribuiti in diverse aree geografiche. Jibe archivia tutti i dati di produzione in data center fisicamente sicuri.
Ridondanza. I sistemi dell'infrastruttura sono stati concepiti per eliminare i single point of failure e ridurre al minimo l'impatto dei rischi ambientali prevedibili. La ridondanza è garantita da due circuiti, switch, reti o altri dispositivi necessari. I Servizi del responsabile sono concepiti per consentire a Jibe di eseguire determinati tipi di manutenzione preventiva e correttiva senza interruzioni. Tutte le attrezzature ambientali e le strutture hanno documentato le procedure di manutenzione preventiva che descrivono il processo e la frequenza delle prestazioni in conformità con le specifiche interne o del produttore. La manutenzione preventiva e correttiva delle attrezzature dei data center è programmata per mezzo di un procedimento standard conforme alle procedure documentate.
Accendi. I sistemi di alimentazione elettrica del data center sono concepiti per essere ridondanti e sostenibili senza avere impatto sulla continua operatività, 24 ore al giorno, sette giorni su sette. Nella maggior parte dei casi, per i componenti critici dell'infrastruttura dei data center, vengono fornite una fonte di alimentazione primaria e una fonte di alimentazione alternativa, entrambe con pari capacità. Una fonte di alimentazione di riserva è fornita attraverso vari meccanismi, quali batterie di gruppi di continuità (UPS), che forniscono una protezione energetica altamente affidabile durante cali di tensione della rete, blackout, eventi di sovratensione o sottotensione e condizioni di frequenza fuori dai parametri di tolleranza. Se l'alimentazione di rete viene interrotta, l'alimentazione di backup è progettata per fornire un'alimentazione transitoria al data center, al pieno della capacità, per un massimo di dieci minuti, finché non viene rilevata dai sistemi di generazione di backup. I generatori sono in grado di avviarsi automaticamente in pochi secondi per fornire una quantità di energia elettrica di emergenza sufficiente a far funzionare il data center al pieno delle proprie capacità, generalmente per una durata di diversi giorni.
Sistemi operativi del server. I server Jibe utilizzano sistemi operativi con protezione avanzata e personalizzati in base alle esigenze specifiche dei server dell'attività. I dati vengono archiviati utilizzando algoritmi proprietari che aumentano la sicurezza e la ridondanza dei dati. Jibe utilizza un processo di revisione del codice per aumentare la sicurezza del codice utilizzato per fornire i servizi del responsabile e potenziare i prodotti di sicurezza negli ambienti di produzione.
Continuità aziendale. Jibe replica i dati su più sistemi per favorire la protezione contro le perdite o la distruzione accidentali. Jibe ha sviluppato programmi per la pianificazione della continuità aziendale e il ripristino di emergenza che vengono rivisti e testati regolarmente.
Tecnologie di crittografia. I criteri di sicurezza di Jibe esigono la crittografia at-rest per tutti i dati utente, inclusi i dati personali. I dati vengono spesso criptati a più livelli nello stack di archiviazione di produzione di Jibe nei data center, incluso a livello di hardware, senza richiedere alcuna azione da parte di partner o clienti. L'utilizzo di più livelli di crittografia aggiunge una protezione dei dati ridondante e consente a Jibe di selezionare l'approccio ottimale in base ai requisiti dell'applicazione. Tutti i dati personali vengono criptati a livello di archiviazione, in genere usando l'algoritmo AES256. Jibe utilizza librerie crittografiche comuni che incorporano il modulo convalidato FIPS 140-2 di Jibe, per implementare la crittografia in modo coerente nei servizi del responsabile.
(b) Reti e trasmissione.
Trasmissione dei dati. I data center sono generalmente connessi tramite link privati ad alta velocità per garantire il trasferimento rapido e sicuro dei dati. Tale trasmissione è stata concepita per prevenire la lettura, la copia, l'alterazione o la rimozione dei dati non autorizzate durante il trasporto elettronico. Jibe trasferisce i dati tramite protocolli standard di Internet.
Superficie di attacco esterna. Jibe utilizza più livelli di dispositivi di rete e il rilevamento delle intrusioni per proteggere la propria superficie di attacco esterna. Jibe valuta i potenziali vettori di attacco e incorpora tecnologie appropriate per scopi specifici nei sistemi rivolti all'esterno.
Rilevamento delle intrusioni. Il rilevamento delle intrusioni mira a fornire dati approfonditi relativi alle attività di attacco in corso e informazioni adeguate per poter reagire agli incidenti. Il sistema di rilevamento delle intrusioni di Jibe prevede:
Rigidi controlli sulla dimensione e sulla composizione della superficie di attacco di Jibe tramite misure preventive;
L’impiego di controlli di rilevamento intelligente in tutti i punti di ingresso dei dati; e
L’impiego di tecnologie per la correzione automatica di determinate situazioni pericolose.
Risposta agli incidenti. Jibe monitora una varietà di canali di comunicazione per rilevare eventuali incidenti di sicurezza e il personale della sicurezza di Jibe reagirà prontamente agli incidenti noti.
Tecnologie di crittografia. Jibe rende disponibile la crittografia HTTPS (nota anche come connessione TLS). I server di Jibe supportano lo scambio di chiavi di crittografia Diffie Curve ellittica temporanee firmato con RSA ed ECDSA. Questi metodi di Perfect Forward Secrecy (PFS) contribuiscono a proteggere il traffico di dati e riducono al minimo l'impatto in caso di compromissione di una chiave o di violazione della crittografia.
2. Accesso e verifica delle sedi
(a) Controlli del sito.
Unità operativa di sicurezza dei data center in loco. I data center di Jibe mantengono le operazioni di sicurezza in loco responsabili di tutte le funzioni di sicurezza dei data center fisici 24 ore su 24, 7 giorni su 7. Il personale dell'unità operativa in loco esegue il monitoraggio delle telecamere a Circuito chiuso ("CCTV") e di tutti i sistemi di allarme. Il personale delle operazioni di sicurezza in loco esegue regolarmente perlustrazioni interne ed esterne del data center.
Procedure di accesso al data center. Jibe adotta procedure di accesso formali per consentire l'accesso fisico ai data center. I data center sono ospitati in strutture munite di accesso mediante carta magnetica e di sistemi di allarme collegati all'unità operativa di sicurezza in loco. Tutti i visitatori del data center devono identificarsi e mostrare un documento d'identità all’unità operativa di sicurezza in loco. L'ingresso ai data center è consentito soltanto ai dipendenti, i contrattisti e i visitatori autorizzati. Solo i dipendenti autorizzati e i contrattisti possono richiedere una scheda magnetica di accesso a tali strutture. Le richieste delle schede magnetiche di accesso devono essere effettuate in anticipo e in forma scritta e richiedono l'approvazione del personale autorizzato del data center. Tutte le altre persone che richiedono un accesso temporaneo al data center devono: (i) ottenere la previa approvazione dei gestori del data center in questione per le specifiche aree interne che intendono visitare; (ii) registrarsi presso l'unità operativa di sicurezza in loco e (iii) fare riferimento a un registro ufficiale di accesso al data center che permetta di identificare l'individuo come approvato.
Dispositivi di sicurezza dei data center presenti in loco. I data center di Jibe utilizzano una chiave elettronica e una scheda di controllo dell'accesso biometrico collegata a un allarme di sistema. Il sistema di controllo dell'accesso monitora e registra la chiave elettronica delle singole persone e quando accede alle porte perimetrali, alle spedizioni e ai ricevuti e ad altre aree critiche. Le attività non autorizzate e i tentativi di accesso non riusciti vengono registrati dal sistema di controllo degli accessi e sono oggetto di verifica, come del caso. L'accesso autorizzato alle operazioni aziendali e ai data center è limitato in base alle zone e alle responsabilità professionali della persona che lo effettua. Le porte antincendio dei data center sono dotate di allarme. Le telecamere CCTV sono in funzione sia all'interno che all'esterno dei data center. Il posizionamento delle telecamere è stato progettato per coprire le aree strategiche, tra cui il perimetro, le porte di accesso agli edifici dei data center e le aree di spedizione/ricezione. Il personale delle operazioni di sicurezza in loco gestisce le attrezzature di monitoraggio, registrazione e controllo del sistema CCTV. Un sistema di cablaggio sicuro connette le attrezzature CCTV in tutto il data center. Le videocamere registrano in loco tramite videoregistratori digitali 24 ore su 24, 7 giorni su 7. Le registrazioni di sorveglianza vengono conservate per almeno sette giorni, a seconda dell'attività.
(b) Controllo dell'accesso.
Personale per la sicurezza dell'infrastruttura. Jibe ha e mantiene un criterio di sicurezza per il proprio personale e richiede una formazione in materia di sicurezza nell'ambito del pacchetto di formazione per il proprio personale. Il personale preposto alla sicurezza dell'infrastruttura di Jibe è responsabile del monitoraggio costante della sicurezza delle infrastrutture di Jibe, della revisione dei Servizi del responsabile e della risposta agli incidenti relativi alla sicurezza.
Controllo degli accessi e gestione dei privilegi. Gli amministratori e gli utenti del Partner devono identificarsi utilizzando un sistema di autenticazione centrale o un sistema Single Sign-On per poter usare i Servizi del responsabile.
Norme e procedimenti per l'accesso ai dati interni - Norme di accesso. Le norme e i procedimenti per l'accesso ai dati interni di Jibe sono concepiti per impedire l'accesso di persone e/o sistemi non autorizzati ai sistemi utilizzati per il trattamento dei dati personali. Jibe mira a progettare i propri sistemi per: (i) consentire esclusivamente alle persone autorizzate di accedere ai dati per i quali dispongono dell'autorizzazione e (ii) assicurare che, durante il trattamento, l'uso e dopo la registrazione, i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione. I sistemi sono progettati per rilevare eventuali accessi inappropriati. Jibe utilizza un sistema di gestione centralizzato per controllare l'accesso del personale ai server di produzione e fornisce l'accesso solo a un numero limitato di membri del personale autorizzato. LDAP, Kerberos e un sistema proprietario che utilizza i certificati digitali sono progettati per fornire a Jibe meccanismi di accesso sicuri e flessibili. Questi meccanismi sono progettati per concedere solo diritti di accesso approvati a host di siti, log, dati e informazioni di configurazione. Jibe richiede l'utilizzo di ID utente univoci, password efficaci, autenticazione a due fattori ed elenchi degli accessi attentamente monitorati per ridurre al minimo il potenziale di utilizzo non autorizzato dell'account. La concessione o la modifica dei diritti di accesso si basa: sulle responsabilità professionali del personale autorizzato; sulle esigenze legate alle mansioni lavorative necessarie all'esecuzione dei compiti autorizzati; e sul principio della "necessità di sapere". La concessione o la modifica dei diritti di accesso deve inoltre essere conforme alle norme interne di formazione sui dati di accesso di Jibe e alla formazione. Le approvazioni sono controllate da strumenti di gestione dei flussi di lavoro che conservano record di controllo di tutte le modifiche. L'accesso ai sistemi viene registrato per creare un audit trail a scopo di responsabilizzazione. Qualora le password vengano impiegate per l’autenticazione (ad esempio per accedere a delle postazioni di lavoro), per tali password saranno adottati dei criteri che quanto meno seguano le pratiche standard del settore. Tali standard includono restrizioni relative al riutilizzo delle password e un livello di sicurezza della password adeguato.
3. Dati
(a) Archiviazione, isolamento e autenticazione dei dati.
Jibe archivia i dati in un ambiente multi-tenant all’interno dei propri server di proprietà di Google LLC. I dati, i database dei Servizi del responsabile e l’architettura del file system vengono replicati tra più data center distribuiti in diverse aree geografiche. Jibe isola logicamente i dati di ciascun partner o cliente. Un sistema di autenticazione centrale viene usato in tutti i servizi del responsabile per aumentare la sicurezza uniforme dei dati.
(b) Linee guida per i dischi ritirati e la distruzione dei dischi.
Alcuni dischi contenenti dati potrebbero verificarsi problemi di prestazioni, errori o guasti dell'hardware che ne causano lo smontaggio ("Disco dismesso"). Ogni disco dismesso è soggetto a una serie di processi di distruzione dei dati (le "Linee guida per la distruzione dei dati") prima di abbandonare le sedi di Jibe per il riutilizzo o la distruzione. I Dischi dismessi vengono cancellati mediante un procedimento composto da varie fasi, la cui compiutezza viene verificata da almeno due ispettori indipendenti. I risultati della cancellazione vengono registrati mediante il numero di serie del Disco ritirato ai fini della tracciabilità. Infine, il Disco ritirato viene reinserito nell'inventario per essere riutilizzato o distribuito nuovamente. Qualora il Disco ritirato non possa essere cancellato a causa di danneggiamento dell’hardware, verrà conservato in un luogo sicuro fino a quando potrà essere distrutto. Tutte le strutture vengono sottoposte regolarmente a controlli al fine di monitorare la conformità con le Linee guida per la distruzione dei dati.
(c) Dati con assegnazione di pseudonimi.
I dati della pubblicità online generalmente vengono associati a identificatori online che sono considerati "pseudonimizzati" (ovvero non possono essere attribuiti a un individuo specifico senza l'utilizzo di informazioni aggiuntive). Jibe dispone di una solida serie di criteri e controlli tecnici e organizzativi per garantire la separazione dei dati pseudonimizzati e le informazioni di identificazione personale degli utenti (ovvero le informazioni che, da sole, potrebbero essere usate per identificare, contattare o localizzare con precisione un privato), come i dati dell'account Jibe di un utente. I criteri di Jibe consentono i flussi di informazioni tra dati pseudonimizzati e quelli che consentono l'identificazione personale solo in circostanze rigorosamente limitate.
(d) Revisioni del lancio.
Jibe effettua revisioni del lancio di nuovi prodotti e funzionalità prima del lancio. Ciò include un controllo della privacy condotto da ingegneri della privacy appositamente formati. Durante le revisioni della privacy, gli ingegneri della privacy si assicurano che tutte le norme e le linee guida applicabili di Jibe vengano seguite, incluse a titolo esemplificativo le norme relative alla pseudonimizzazione e alla conservazione ed eliminazione dei dati.
4. Sicurezza del personale
Il personale di Jibe è tenuto a comportarsi in modo coerente con le linee guida della società in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. Jibe effettua controlli dei precedenti ragionevolmente appropriati nella misura consentita dalla legge e in conformità con le leggi e i regolamenti locali sul lavoro vigenti.
Il personale è tenuto ad attenersi a un accordo di riservatezza, nonché a riconoscere e rispettare le norme sulla privacy e sulla riservatezza di Jibe. Il personale riceve una formazione in materia di sicurezza. Il personale incaricato della gestione dei Dati personali dei partner è tenuto a soddisfare requisiti aggiuntivi adeguati al proprio ruolo. Il personale di Jibe non tratterà i Dati personali del partner senza autorizzazione.
5. Sicurezza dei Sub-responsabili
Prima di fare l'onboarding dei Sub-responsabili, Jibe effettua un controllo delle prassi relative alla sicurezza e alla privacy dei Sub-responsabili per garantire un livello di sicurezza e privacy adeguato al loro accesso ai dati e all'ambito dei servizi che si impegna a fornire. Una volta che Jibe ha valutato i rischi presentati dal Sub-responsabile, il Sub-responsabile dovrà sottoscrivere dei termini contrattuali consoni in merito alla sicurezza, alla riservatezza e alla privacy, soggetti ai requisiti della Sezione 11.3 (Requisiti per l'incarico del Sub-responsabile).
Allegato 3: Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati
I seguenti Termini aggiuntivi relativi alla Legislazione non europea sulla protezione dei dati integrano il presente Addendum per il trattamento dei dati:
- Addendum per il Responsabile della LGPD all'indirizzo business.safety.google/processorterms/lgpd (del 27 agosto 2020)
- Addendum relativo alla legge statale degli Stati Uniti alla pagina business.safety.google/processorterms/us-state-laws (del 12 dicembre 2022)
I riferimenti a Google LLC o Google nell'Addendum relativo alla LGPD applicabile al Responsabile e nell'Addendum statale per le leggi degli Stati Uniti saranno a Jibe.
Addendum per il trattamento dei dati Jibe, versione 4.0